WordPress, leader mondial des systèmes de gestion de contenu, anime des millions de sites. Sa popularité en fait malheureusement une cible de choix pour les cybercriminels cherchant à exploiter des vulnérabilités, injecter des codes malveillants, s’emparer de données ou détourner du trafic.
Lorsque votre site WordPress est victime d’une attaque, une intervention rapide est cruciale pour le nettoyer et le sécuriser. Un site compromis peut gravement nuire à votre réputation, votre SEO, votre chiffre d’affaires, ainsi qu’à la confiance de vos utilisateurs, sans oublier les implications légales liées à la protection des données personnelles.
Cet article vous détaille comment rétablir la sécurité de votre site WordPress en 5 étapes clés. Vous découvrirez comment identifier et évaluer l’atteinte, isoler votre site, effectuer un nettoyage manuel et automatisé, renforcer sa sécurité et enfin, engager des mesures préventives pour l’avenir. Suivez le guide pour une remise en sécurité efficace !
Étape 1 : Identification et analyse du problème
La première chose à faire pour nettoyer votre site WordPress est de diagnostiquer le problème. Plusieurs signaux d’alarme peuvent indiquer que votre site est compromis :
- Redirections inattendues vers des sites malveillants ou des publicités intrusives
- Changements non autorisés dans l’apparence ou le contenu de votre site
- Baisse notable de la performance ou de la rapidité d’accès à votre site
- Alertes émises par votre navigateur ou programme antivirus
- Affichage d’erreurs ou d’une page blanche
- Avertissements de Google ou d’autres services de sécurité en ligne
Face à ces symptômes, une réaction rapide s’impose pour identifier et comprendre l’origine du problème. Nous vous proposons une démarche en trois étapes :
Scanner le site à la recherche de malwares
La détection de malwares constitue votre premier objectif. Utilisez des outils gratuits comme [Sucuri SiteCheck], [Wordfence Scan], et [Quttera Web Malware Scanner] pour un diagnostic initial. Ces solutions scrutent votre site à la recherche de logiciels malintentionnés, vous informant sur d’éventuelles infections, vulnérabilités, ou si votre site est blacklisté. Cependant, leur capacité de détection n’étant pas absolue, une inspection manuelle des fichiers s’avère nécessaire.
Identifier les fichiers malveillants
Inspectez ensuite votre site à la recherche de fichiers modifiés ou malveillants. Connectez-vous au répertoire de votre site via un client FTP comme FileZilla ou Cyberduck, et comparez les fichiers existants avec ceux d’une installation propre de WordPress. Focus particulier sur :
- Le fichier
wp-config.php
, crucial pour la connexion à la base de données. - Le fichier
.htaccess
, qui gère la configuration du serveur et les règles de réécriture d’URL. - Le fichier
index.php
, point d’entrée principal de WordPress. - Les dossiers
wp-includes
etwp-content
, cœurs fonctionnels de votre site.
Si des fichiers suspects sont identifiés, supprimez-les ou remplacez-les par des versions saines. Des outils comme [WPS Cleaner] ou [Anti-Malware Security and Brute-Force Firewall] peuvent également aider à purger votre site.
Examiner les logs d’accès pour repérer les activités suspectes
Enfin, analysez les logs d’accès pour détecter toute activité anormale menant à l’infection. Ces fichiers enregistrent toutes les requêtes faites à votre serveur. Recherchez notamment :
- Requêtes provenant d’IP suspectes ou inhabituelles
- Requêtes avec des paramètres étranges, symptômes possibles d’injection SQL ou d’attaques par force brute
- Accès à des fichiers ou répertoires cachés ou inexistants
- Codes d’erreur révélateurs comme 403, 404, ou 500
En présence de telles activités, notez-les et bloquez-les si possible. Utilisez des solutions de sécurité telles que [Wordfence] ou [iThemes Security] pour renforcer la protection de votre site.
Étape 2 : Mise en quarantaine du site
Après avoir identifié et analysé le problème, il est crucial de mettre votre site en quarantaine pour empêcher toute propagation ou réinfection. Voici deux étapes clés pour y parvenir :
Changer tous les mots de passe
Commencez par changer tous les mots de passe associés à votre site WordPress, y compris :
- Les mots de passe de votre compte administrateur WordPress et ceux des utilisateurs avec des rôles importants (éditeur, auteur, etc.). Effectuez cette opération depuis le tableau de bord de WordPress, via Utilisateurs > Votre profil, ou utilisez la fonction “Mot de passe oublié” sur la page de connexion.
- Le mot de passe de votre base de données WordPress, situé dans le fichier
wp-config.php
. Modifiez-le depuis le panneau de contrôle de votre hébergeur, dans Bases de données > MySQL, ou avec un outil comme phpMyAdmin. Assurez-vous de mettre à jour le fichierwp-config.php
avec le nouveau mot de passe. - Le mot de passe de votre compte FTP, qui donne accès aux fichiers de votre site. Changez-le depuis le panneau de contrôle de votre hébergeur, dans FTP > Comptes FTP, ou avec un outil comme FileZilla.
- Le mot de passe de votre compte d’hébergement, permettant d’accéder au panneau de contrôle et aux services liés. Modifiez-le sur le site web de votre hébergeur, dans Mon compte > Modifier mon mot de passe, ou via la fonction “Mot de passe oublié” sur la page de connexion.
En renouvelant ces mots de passe, vous bloquerez l’accès à votre site et à votre espace d’hébergement aux pirates. Optez pour des mots de passe forts, c’est-à-dire longs, complexes et uniques. L’utilisation d’un générateur de mots de passe ou d’un gestionnaire dédié peut s’avérer utile.
Restreindre l’accès au site
La seconde étape est de restreindre l’accès à votre site pour protéger les visiteurs des contenus malveillants et limiter les possibilités pour les pirates d’utiliser votre site dans leurs attaques. Plusieurs options s’offrent à vous :
- Mettre votre site en mode maintenance, en affichant une page temporaire indiquant que des réparations sont en cours. Cela peut être fait manuellement, en créant un fichier
.maintenance
dans le répertoire racine de votre site, ou via une extension telle que [WP Maintenance Mode] ou [Coming Soon Page & Maintenance Mode by SeedProd]. - Bloquer l’accès à votre site avec un mot de passe, demandant ainsi aux visiteurs de s’identifier. Réalisez-le manuellement, en créant un fichier
.htpasswd
et en modifiant le fichier.htaccess
de votre site, ou avec une extension telles que [Password Protected] ou [Hide My Site]. - Bloquer l’accès à certains composants de votre site, tels que le tableau de bord, le fichier
wp-config.php
ou le répertoirewp-includes
. Effectuez cette tâche manuellement, en modifiant le fichier.htaccess
ou avec une extension comme [All In One WP Security & Firewall] ou [BulletProof Security].
En limitant l’accès, vous diminuez les risques de propagation ou de nouvelle infection de votre site. De plus, vous offrez une sécurité rassurante à vos visiteurs, démontrant votre engagement envers la sécurité de votre site.
Étape 3 : Nettoyage manuel et avec des outils spécialisés
Une fois votre site mis en quarantaine, vous devez éliminer les fichiers compromis par les malwares. Vous pouvez opter pour un nettoyage manuel ou l’usage d’un plugin de sécurité. Voici les étapes à suivre :
Nettoyer les fichiers infectés manuellement
Si vous avez localisé les fichiers nuisibles lors de l’analyse initiale, procédez à leur nettoyage manuel en les supprimant ou les remplaçant avec des versions saines. Accédez à votre site via FTP et:
- Éliminez les fichiers et dossiers externes à WordPress, tels les fichiers
.php
ou.js
à la racine, ainsi que les dossierscache
outmp
. - Remplacez les contenus des répertoires
wp-admin
etwp-includes
par des versions fraîches téléchargeables sur le site officiel de WordPress. - Actualisez les fichiers
index.php
,wp-config.php
, et.htaccess
, en prenant soin de conserver les configurations personnalisées. - Renouvelez les fichiers des thèmes et extensions avec ceux obtenus des sites officiels des développeurs ou du répertoire WordPress.
- Restaurez les fichiers média soit à partir d’une sauvegarde, s’il y en a une, soit par des fichiers vierges en cas de besoin.
Le nettoyage manuel éradique les malwares de votre site mais demande rigueur et attention pour éviter la suppression de données essentielles ou l’omission de fichiers infectés. Il est recommandé, pour plus de sécurité et d’efficacité, d’utiliser un plugin de sécurité.
Utiliser un plugin de sécurité pour automatiser le nettoyage
Pour simplifier le processus, orientez-vous vers un plugin de sécurité. Plusieurs options sont proposées sur le marché, capables de scanner, détecter et supprimer les malwares automatiquement. Parmi les plugins de confiance, citons :
- Sucuri Security, offrant nettoyage gratuit ou payant selon les besoins, avec des options de restauration, protection contre les attaques et surveillance en temps réel.
- Wordfence Security, proposant un nettoyage payant garanti, en plus de la sécurisation et de l’optimisation de votre site.
- MalCare Security, avec un nettoyage payant en un clic, protection contre le piratage et sauvegarde automatique.
L’usage d’un plugin simplifie le nettoyage tout en apportant efficacité et gain de temps. Cependant, cette option peut engendrer des coûts supplémentaires et n’est pas toujours compatible avec certains thèmes ou plugins, pouvant causer des conflits ou dysfonctionnements.
Suppression des plugins et thèmes non utilisés ou obsolètes
L’étape finale de nettoyage implique le retrait des plugins et thèmes inutilisés ou désuets de votre WordPress. Ces éléments peuvent constituer des failles de sécurité exploitables. Pour les éliminer :
- Désactivez les éléments non essentiels via le menu Extensions > Toutes les extensions ou Apparence > Thèmes.
- Supprimez les éléments désactivés en cliquant sur Supprimer sous leur nom.
- Assurez-vous que les restants sont à jour, en cliquant sur Mettre à jour maintenant ou via un outil comme Easy Updates Manager ou WP-Optimize.
En débarrassant votre site des composants superflus ou dépassés, vous minimisez le risque de réinfections tout en améliorant sa performance et stabilité.
Étape 4 : Renforcement de la sécurité du site
Une fois votre site WordPress nettoyé, il est crucial de renforcer sa sécurité pour éloigner toute nouvelle menace. Cette consolidation se décompose en trois actions clés :
Mettre à jour WordPress, les thèmes et les plugins
Commencez par actualiser WordPress, ainsi que les thèmes et les plugins que vous utilisez. Ces mises à jour, proposées par les développeurs, corrigent les bugs, améliorent les fonctionnalités et comblent les vulnérabilités. En les réalisant, vous bénéficiez des dernières avancées et diminuez le risque d’infection.
Pour mettre à jour WordPress, les thèmes et les plugins, optez pour une démarche manuelle via le Tableau de bord > Mises à jour de WordPress, ou faites-le automatiquement avec des extensions telles que [Easy Updates Manager] ou [WP-Optimize]. Activez également les mises à jour automatiques de WordPress en ajoutant define( 'WP_AUTO_UPDATE_CORE', true );
dans le fichier wp-config.php
.
Installer et configurer un plugin de sécurité
La deuxième étape indispensable consiste à installer un plugin de sécurité sur votre site WordPress. Celui-ci vous aidera à vous protéger des attaques, surveiller les activités suspectes, bloquer les accès non autorisés et restaurer votre site si nécessaire. Parmi les options disponibles, Wordfence et Sucuri se distinguent.
[Wordfence] est un plugin gratuit et réputé, proposant un pare-feu, un scanner anti-malwares, une protection contre les attaques par force brute, une authentification à deux facteurs, et bien d’autres fonctionnalités. Installez Wordfence directement du répertoire officiel ou par fichier zip téléchargé sur le site du développeur. Configurez-le ensuite depuis le tableau de bord WordPress, dans l’option Wordfence > Options.
[Sucuri], plus complet, est un plugin payant qui offre un service de nettoyage, un pare-feu avancé, un scanner de malwares, et d’autres protections cruciales. Après l’installation, créez un compte sur le site de Sucuri pour activer le plugin avec une clé API. La configuration s’effectue dans le tableau de bord WordPress, sous Sucuri > Paramètres.
Configurer des sauvegardes automatiques régulières
La troisième action pour sécuriser votre site est de planifier des sauvegardes automatiques régulières. Elles sont vitales pour récupérer votre site et vos données en cas de souci. Utilisez des extensions comme [UpdraftPlus] ou [BackWPup] pour sauvegarder votre site sur divers supports (ex : votre PC, votre hébergement web, Dropbox, Google Drive). Les services payants comme [VaultPress] ou [BlogVault] offrent quant à eux des sauvegardes sécurisées, illimitées et faciles à restaurer.
Étape 5 : Suivi post-nettoyage et prévention
Après avoir amélioré la sécurité de votre site WordPress, il est crucial de procéder à un suivi et à mettre en place des mesures de prévention pour se prémunir contre de futures infections. Pour ce faire, abordez les trois étapes suivantes :
Vérifier le bon fonctionnement du site
Commencez par vérifier que votre site fonctionne correctement suite au nettoyage et au renforcement de la sécurité. Assurez-vous de tester ce qui suit :
- L’apparence et le contenu de votre site, en vérifiant l’absence de modifications indésirables, de liens cassés, d’images manquantes, etc.
- La performance et la vitesse de votre site, en utilisant des outils tels que GTmetrix ou Pingdom, qui fournissent des indicateurs utiles pour l’optimisation.
- Le référencement et la réputation de votre site, via des outils comme Google Search Console ou Bing Webmaster Tools, permettant de contrôler l’indexation, le trafic, et plus encore.
- La compatibilité et la fonctionnalité de votre site sur divers navigateurs et appareils, grâce à des outils comme BrowserStack ou CrossBrowserTesting.
En cas de problème détecté, agissez rapidement en contactant votre hébergeur, développeur ou un support technique qualifié.
Demander la révision du site par Google
Si votre site a été blacklisté ou marqué comme dangereux, demandez à Google de le réévaluer en suivant ces étapes :
- Connectez-vous à Google Search Console avec le compte lié à votre site.
- Sélectionnez votre site dans la liste des propriétés.
- Accédez à Sécurité et actions manuelles > Actions manuelles.
- Vérifiez la présence d’actions manuelles appliquées à votre site, telles que “Site piraté” ou “Logiciels malveillants”.
- Cliquez sur Demander un examen et décrivez les mesures prises pour nettoyer et sécuriser votre site.
- Soumettez votre demande et patientez quelques jours pour la réponse de Google.
Si Google valide votre demande, il enlèvera l’avertissement de sécurité et réintégrera votre site dans les résultats de recherche. En cas de refus, les raisons vous seront expliquées ainsi que les actions correctives à entreprendre.
Adopter les bonnes pratiques de sécurité
Adoptez les bonnes pratiques suivantes pour sécuriser durablement votre site WordPress contre les attaques futures :
- Choisissez un hébergeur réputé offrant des services de sécurité, sauvegarde et support adaptés.
- Engagez-vous pour des mots de passe forts et uniques, les réactualisant de manière régulière.
- Activez l’authentification à deux facteurs, ajoutant une couche de sécurité avec un code via SMS, email ou application.
- Limiter les tentatives de connexion pour contrer les attaques par force brute, via une extension adéquate.
- Changez les identifiants par défaut pour compliquer l’accès non autorisé à votre site.
- Masquez la version de WordPress pour ne pas divulguer d’informations aux pirates, grâce à une extension adaptée.
- Désactiver l’édition de fichiers depuis le tableau de bord pour prévenir les modifications non autorisées.
- Utilisez un certificat SSL, sécurisant la connexion entre votre site et vos visiteurs.
- Implémentez un pare-feu pour bloquer les requêtes malveillantes et les attaques DDoS.
- Effectuez des mises à jour régulières de WordPress, des thèmes et des plugins pour bénéficier des dernières améliorations.
En suivant ces pratiques, vous garantissez la sécurité, la performance et la réputation de votre site WordPress, tout en inspirant confiance à vos visiteurs et clients.